Sites que utilizam o WordPress estão sob forte ataque: como proteger seu site
[h=2][/h]Durante a semana passada, diversas empresas de segurança registraram um crescente ataque de força bruta às contas administrativas do WordPress. Vários provedores de hospedagem e serviços de telecomunicações, incluindo CloudFlare eHostGator tem detectado um pico em páginas e blogs hospedados no WordPress para roubar senhas .
Os ataques a sites que utilizam o WordPress como plataforma para divulgação de conteúdo, que são uma grande maioria na Internet, vem se intensificando dia-adia, e neste final de semana já partem de mais de 90 mil IP’s de usuários domésticos, atingindo servidores em todo o mundo. Os atacantes tentam utilizar em torno de 1000 combinações mais comuns de usuário e senha como admin, password ou admin e P@ssw0rd (Sim, “P@ssw0rd” é uma senha que todo mundo conhece…). A CloudFlare diz bloqueou 60 milhões desses pedidos em apenas uma hora.
O objetivo do ataque é instalar um script malicioso e utilizar os servidores de WordPress, que possuem uma banda consideravelmente maior que os computadores domésticos, para a partir desses servidores realizar um gigantesco ataques de negação de serviço (DDoS). Instituições financeiras dos Estados Unidos já estão sob ataque e uma vez que o número de servidores comprometidos cresça, essa rede de servidores WordPress poderá servir para qualquer finalidade, inclusive para parar serviços essenciais de diversos países.
Os atacantes tentam diversas combinações de usuário + senha e quando conseguem acesso instalam um script que o torna disponível para ser utilizado no que bem entenderem. No entanto, existem algumas ações simples que podem evitar que seu site entre na lista dos sites invadidos e utilizados pelos atacantes.
O Próprio fundador do WordPress, Matt Mullenweg, colocou em seu blog um post aconselhando que os usuários troquem o nome do usuário e a senha, o que é possível de ser feito desde a versão 3.0 do WordPress liberada há mais de 3 anos. Se a versão do WordPress em seu site for inferior à 3.0 seus problemas são muito maiores. Coloque uma senha enorme e complexa para o usuário “Admin” e faça uma pausa na leitura para planejar a atualização da versão de seu WordPress.
[h=4]1) Crie um novo usuário para administrar seu site: No exemplo abaixo criamos o usuário ZeCarioca, com uma senha forte (Números, Maiúsculas, Minúsculas e Caracteres especiais).[/h]Para se ter uma ideia, as primeiras senhas a serem enviadas para os site como ataque são: 123456, 666666, 111111 e 12345678 . E se elas são as primeiras utilizadas isso significa que são as que mais funcionam.
[h=4]2) Lembre-se de não utilizar nomes como admin, test, administrator, Admin, e root. Estes são os cinco nomes que estão sendo utilizados para o ataque atual.[/h]
[h=4]3) Verifique a versão de seu WordPress (em 14 de Abril de 2013 a 3.5.1 era a mais atual).[/h]Versões antigas podem conter vulnerabilidades que permitam aos atacantes invadir seu site sem que tenham que descobrir a senha por força bruta.
[h=4]4) Faça logoff do usuário Admin e faça logon com o novo usuário (no nosso caso, o Zé Carioca).[/h]
[h=4]5) Apague o usuário admin e atribua todos os posts ao novo usuário (Zé Carioca). Alternativamente, você pode renomear o admin através de um plug-in (passo 7).[/h]
[h=4]6) Instale o Plugin “Limit Login Attempts”. Este plugin mudara o comportamento de logon do seu site para:[/h]
‘”
- n”.self::process_list_items(“‘.str_replace(‘
‘, ”, ‘
[*]Bloquear o acesso de seu IP à interface administrativa por 20 minutos após 4 tentativas erradas de logon
[*]Bloquear o acesso de seu IP à interface administrativa por 24 horas após 4 bloqueios de 20 minutos.
‘).'”).”n
“‘
[h=4]7) Neste ponto, você já está suficientemente protegido contra o ataque de hoje, mas caso queira aumentar ainda mais a sua segurança, existem Plugins como o “Better wp Secuity”[/h]Este tipo de plugin que te ajuda a fazer um “Hardening” na sua página, ou seja, configurá-la para obter um padrão de segurança mais alto. Nós recomendamos o uso desse plugin somente para quem possui uma compreensão melhor do funcionamento dos sites no WordPress, e somente depois de exportar o site e fazer um backup do banco. Veja abaixo algumas das possíveis alterações:
‘”
- n”.self::process_list_items(“‘.str_replace(‘
‘, ”, ‘
[*]Varrer o site e corrigir vulnerabilidades existentes
[*]Renomear o usuário Admin
[*]Remover mensagens de erro de login
[*]Criar e enviar por e-mail backups regulares da base de dados
[*]Mudar as URL’s para funções como login, administração, etc.
[*]Exibir um número de versão aleatória do WordPress para usuários que não forem administradores
[*]Exigir que todos usuários usem senhas fortes
[*]Detectar e conter inúmeros tipos de ataque
‘).'”).”n
“‘
A Internet é uma selva onde fugimos de leões esfomeados. Não importa o que aconteça, você deve estar preparado para correr muito, ou pelo menos mais do que os outros fugitivos apetitosos.
Com essas pequenas alterações, o seu site estará muitos passos à frente de uma imensidão de outros sites WordPress, mas procure sempre ler e aperfeiçoar sua segurança, pois chegará a hora que o leão já terá comido todos os mais lentos, e virá atrás de você.
O Site GMA News foi o único a citar um ataque também no Joomla, por esse motivo não abordamos o tema para este CMS.
Fonte= ANTEBELLUM Capacitação Profissional » Blog Archive WordPress sob ataque: saiba como proteger seu site
